- SMS ile oturum açma bağlantıları yalnızca sahip olunmaya dayalı olduğundan, özel hesaplar tehlikeli bir şekilde açığa çıkar
- Zayıf belirteçler, saldırganların geçerli bağlantıları tahmin etmesine ve diğer kullanıcıların hesaplarına erişmesine olanak tanır
- Şifrelenmemiş metin mesajları, hesap kimlik doğrulaması için kırılgan bir temel olmaya devam ediyor
Çoğu çevrimiçi hizmet artık geleneksel şifreler yerine oturum açma bağlantılarına veya kısa mesaj yoluyla gönderilen kodlara güveniyor; bu da hesaba erişim sırasındaki adımları azaltıyor ve saldırganların sıklıkla ihlal ettiği şifre veritabanlarının saklanmasını önlüyor.
Kolaylığına rağmen SMS şifrelenmemiş bir iletişim kanalı olmaya devam ediyor ve bu da onu müdahaleye, yeniden kullanıma ve uzun vadeli maruz kalmaya karşı savunmasız hale getiriyor.
Ve şimdi yeni bir teknik inceleme 30.000’den fazla telefon numarasına bağlı 33 milyondan fazla SMS mesajından alınan 322.000’den fazla benzersiz URL’yi inceleyerek mesajların sigorta teklifleri, iş ilanları ve kişisel yönlendirmeler sunan platformlar da dahil olmak üzere en az 177 dijital hizmetle bağlantılı olduğunu buldu.
Uygun ama ne pahasına?
İnceleme, genel SMS ağ geçitlerinin kullanıldığı sınırlı bir gözlem aralığı dahilinde bile yüzlerce hizmet uç noktasında hassas kullanıcı verilerinin tekrar tekrar açığa çıktığını tespit etti.
Temel güvenlik zayıflığı, SMS ile gönderilen bir URL’ye sahip olmayı yeterli kimlik kanıtı olarak değerlendiren kimlik doğrulama sistemleriyle ilgiliydi.
Böyle bir bağlantıya sahip olan herkes, genellikle doğum tarihleri, banka bilgileri ve krediyle ilgili kayıtları içeren özel kullanıcı bilgilerine daha fazla doğrulamaya gerek kalmadan erişebiliyordu.
Araştırmacılar ayrıca 125 hizmetin düşük entropili tokenlar kullandığını ve bunun da karakterleri değiştirerek geçerli bağlantıları tahmin etmeyi mümkün kıldığını gözlemledi.
Bazı bağlantılar aylarca, hatta yıllarca aktif kaldı ve bu da riski ilk giriş denemesinin çok ötesine taşıyor.
Ayrıca, görünür arayüz öğeleri ile arka uç veri talepleri arasındaki uyumsuzluklar, kişisel bilgilerin gereksiz yere aşırı yüklenmesine neden oldu.
Genel SMS ağ geçitlerinin sağladığı dar görünürlük göz önüne alındığında, etkilenen hizmetlerin sayısı muhtemelen olduğundan az gösteriliyor.
SMS trafiği şifreleme olmadan seyahat eder ve daha önce yapılan açıklamalar, saklanan metin mesajlarının teslimattan uzun süre sonra bile erişilebilir kalabileceğini göstermiştir.
Bilinen bu sınırlara rağmen, SMS tabanlı kimlik doğrulama, algılanan kolaylık ve parola depolamaya olan bağımlılığın azalması nedeniyle genişlemeye devam ediyor.
Araştırma sırasında iletişime geçilen yaklaşık 150 sağlayıcıdan yalnızca 18’i bildirilen zayıflıkları kabul etti ve daha da azı düzeltici eylemler uyguladı.
Bu değişikliklerin on milyonlarca kullanıcının maruziyetini azalttığı bildirildi, ancak çoğu hizmet kamuya açık bir yanıt vermedi.
Kullanıcı tarafı savunmaları, örneğin güvenlik duvarıhatalı kimlik doğrulama mantığının yarattığı riskleri azaltmak için çok az şey yapın.
Benzer şekilde, kötü amaçlı yazılım temizleme araçları Erişim geçerli bir bağlantıdan başka bir şey gerektirmediğinde çok az koruma sağlar.
Bulgular nasıl olduğuna dair soruları gündeme getiriyor kimlik hırsızlığı koruması hizmetler, doğrudan hesap uzlaşmasından ziyade tasarım seçimlerinden kaynaklanan tehditleri değerlendirir.
Bu sorunlar, etkilenen kullanıcılar için büyük ölçüde görünmez olan zayıflıkları düzeltme konusunda hizmet sağlayıcılara olan yapısal bağımlılığın altını çiziyor.
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.